- •Міністерство транспорту та зв’язку України
- •Рецензія на курсовий проект комплексна система захисту інформації системи електронного документообігу
- •1 Формування загальних вимог до комплексної системи захисту інформації в ітс
- •1.1 Обґрунтування необхідності створення ксзі
- •1.2 Обстеження середовищ функціонування ітс
- •1.3 Формування завдання на створення ксзі
- •2 Розробка політики безпеки інформації в ітс
- •2.1 Вивчення об’єкта, на якому створюється ксзі, проведення науково-дослідних робіт
- •2.2 Вибір варіанту ксзі
- •2.3 Оформлення політики безпеки
- •3 Розробка плану захисту
- •3.1 Завдання захисту інформації в ітс
- •3.2 Класифікація інформації, що обробляється в ітс
- •3.3 Опис компонентів ітс та технології обробки інформації
- •3.4 Загрози для інформації в ітс
- •3.5 Політика безпеки інформації в ітс
- •4 Розробка технічного завдання на створення ксзі
- •4.1 Загальні положення щодо створення тз
- •4.2 Визначення вимог до засобів захисту
- •5 Обґрунтування та вибір методів та засобів захисту ітс
- •5.1 Адміністративний рівень забезпечення безпеки
- •5.2 Організаційний рівень забезпечення інформаційної безпеки
- •5.3 Технічний рівень забезпечення інформаційної безпеки
- •5.4 Забезпечення безперебійної роботи організації
- •5.5 Документи по політиці інформаційної безпеки
- •6 Документація щодо забезпечення режиму інформаційної безпеки
- •6.1 Керування доступом користувачів
- •6.2 Організація роботи персоналу
- •Література
5 Обґрунтування та вибір методів та засобів захисту ітс
Комплекс методів та засобів із забезпечення режиму інформаційної безпеки повинен розглядатися на трьох рівнях:
адміністративному (система підтримки керівництвом організації робіт із забезпечення інформаційної безпеки);
організаційному (конкретні організаційні заходи із забезпечення режиму інформаційної безпеки);
технічному (реалізація механізмів захисту апаратно-програмними засобами).
5.1 Адміністративний рівень забезпечення безпеки
Повинні бути розроблені:
система підтримки керівництвом організації заходів із забезпечення інформаційної безпеки;
процедура доведення до відома співробітників основних положень концепції інформаційної безпеки, вимог із навчання персоналу правил інформаційної безпеки;
система контролю за реалізацією прийнятих рішень та відповідальні посадові особи.
5.2 Організаційний рівень забезпечення інформаційної безпеки
На організаційному рівні повинні бути розглянуті:
організаційна структура служби, відповідальної за забезпечення режиму інформаційної безпеки, розподіл обов'язків;
комплекс профілактичних мір (попередження появи вірусів, попередження ненавмисних дій, що ведуть до порушення інформаційної безпеки);
організація доступу співробітників сторонніх організацій до ресурсів ІТС;
організація доступу користувачів і персоналу до конкретних ресурсів ІТС;
політика стосовно окремих аспектів: вилучений доступ в АС, використання відкритих ресурсів (наприклад Інтернету), використання несертифікованого програмного забезпечення й т.ін.).
5.3 Технічний рівень забезпечення інформаційної безпеки
Розглядаються програмно-технічні засоби, що реалізують задані вимоги.
Якщо вимоги формулювалися в термінах функцій (сервісів) безпеки, розглядаються механізми безпеки й відповідні їм варіанти програмних й апаратних реалізацій.
Якщо вимоги формулювалися по підсистемах ІТС, розглядається варіанти програмно-апаратної реалізації цих підсистем.
При розгляді різних варіантів рекомендується враховувати наступні аспекти:
керування доступом до інформації й сервісів, включаючи вимоги до поділу обов'язків і ресурсів;
реєстрація значних подій у журналі для цілей повсякденного контролю або спеціальних розслідувань;
перевірка й забезпечення цілісності критично важливих даних на всіх стадіях їхньої обробки;
захист конфіденційних даних від НСД, у тому числі використання засобів шифрування;
резервне копіювання критично важливих даних;
відновлення роботи ІТС після відмов, особливо для систем з підвищеними вимогами до доступності;
захист від внесення несанкціонованих доповнень і змін;
забезпечення засобів контролю, наприклад, за допомогою використання програми для вибіркового контролю й альтернативні варіанти програмного забезпечення для повторення критично важливих обчислень.
5.4 Забезпечення безперебійної роботи організації
У процесі планування безперебійної роботи організації розглядаються наступні питання:
виявлення критично важливих процесів у роботі ІТС;
визначення можливого впливу аварій різних типів на роботу ІТС;
визначення й узгодження всіх обов'язків і планів дій у надзвичайних ситуаціях;
планування підготовки персоналу до роботи в надзвичайних ситуаціях.
План забезпечення безперебійної роботи організації повинен включати:
процедури реагування на надзвичайні ситуації, що описують міри, які слід прийняти відразу після великого інциденту, що піддає небезпеки роботу організації й/або порушення інформаційної безпеки;
процедури переходу на аварійний режим, що описують міри, які слід прийняти для тимчасового перекладу основних робіт і сервісів в інші місця;
процедури поновлення роботи організації, що описують міри, які слід прийняти для поновлення нормальної виробничої діяльності організації;
графік випробувань, що визначає, як і коли буде проведене тестування плану.
Плани забезпечення безперебійної роботи організації необхідно обновляти при виникненні істотних змін. Такими змінами є:
установка нового обладнання або модернізація функціонуючих систем;
установка нових систем сигналізації або пожежогасіння;
організаційні зміни;
зміни у виробничих процесах;
зміни в програмному забезпеченні;
зміни в процедурах обслуговування ІТС.
Необхідно призначити відповідального для відстеження змін і корекції планів. Інформацію про оновлення планів необхідно доводити до відома співробітників.